背景

2023年7月11日,微软安全博客上公布了一个技术分析报告:

一个叫Storm-0058的黑客组织入侵了它多个客户的邮箱,微软及时进行了处置。这个事件是由它的一个客户在6月16号进行的上报。

攻击方式

微软调查发现:

2023年5月15号,这个组织就已经成功获取了微软多个企业客户的邮箱权限,累计有25个企业客户受影响,包括政府部门的。

也就是说,从被入侵到被发现,中间持续了一个多月。

攻击方式:

攻击者获取到一个Microsft account comsumer signing key。之后使用了这个key派发认证token来访问用户邮箱。

从后续描述看,这应该是微软云管理侧的一个大key。而不是针对每个客户的那种key。

理论上讲,微软consumer signing key跟企业自身AD的管理key的权限应该是隔离的。consumer signing key不应该具备访问企业AD的权限。攻击者找到了一个token验证的漏洞。完成了此次操作。

这个攻击路径,一看就只能直呼牛牛牛!

如何检测

好了,这么牛的攻击到底是哪个客户发现的?毕竟这个攻击连微软自己都没发现。

cisa的官网公布了一个公告:

美国联邦民事行政部门(FCEB)发现了这次可疑攻击。

2023年6月的某天,FCEB某部门发现微软的Audit日志里面,出现了一条可疑记录。

有异常的AppId和ClientAppId执行了MailItemAccessed。

整篇文章的精华就是这一句。

说的更直白点,FCEB建立了一个Outlook行为基线。尤其是MailItemAccessed事件。从而发现了微软这么牛逼都没发现的APT攻击事件。

这里没有神秘的深度神经网络。

只有基线,异常。

重剑无锋,大巧不工。

就是这么平平无奇的检测策略,发现了这么牛逼的APT攻击。

启发

对于APT检测而言,智能检测算法不需要那么牛逼。

但需要你

1. 日志。首先要有日志。如果你连日志都没有,你谈智能算法,深度神经网络,大模型。那只能说,你神经啊?需要的是合格的日志。当你有合格的日志进来,知道采集哪些日志,哪些因子,你就已经成功了百分之二十五。

2. 基线。基线的意思是,你需要通过治理手段将访问行为规范化。只允许特定的应用,特定的账户做特定的操作。只允许特定的服务器访问公网。这些都是常见的治理方式。这个事情对整体的成功要贡献百分之二十五。

3. 检测策略或者算法。这个占比只占百分之二十。

4. 剩下百分之三十是运营处置。即使你发现的这些异常,你直接miss了,也是一个悲剧。

这里FCEB的人很牛逼,运营发现后,立马进行上报。微软也展现了一流响应处置能力。除了定性,还具备吊销key的能力,这种线上大key,说处置就处置。还没引起故障。

平行空间里,可能有个FCEB的人看到后,默默选择了忽略该告警。

另一个平行空间里,FCEB的人上报了,但是微软没调查出结果。

还有个哪些平行空间,大家都可以脑补。

我现在比较关注后续对微软有没有啥处罚。

在我看来,这是一起非常优秀的范例。

其中既涉及到的包括检测响应这种技术方面的事情,又展示了FCEB 微软 cisa FBI的合作案例。同时这起案例里面还给出了,对企业的技术指导,包括开启哪些日志,如何建立基线等。

概述下,美国要求重点企业开启以下配置

参见:

https://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project

这些对甲方都很有价值和意义。

声明:本文来自落水轩,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。